форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
Сообщение от opennews on 23-Фев-11, 23:09
В DNS-сервере Bind (http://www.isc.org/software/bind/) обнаружена уязвимость (http://www.isc.org/software/bind/advisories/cve-2011-0414), позволяющая инициировать зависание процесса. Проблема проявляется при интенсивном потоке IXFR-пересылок или DDNS-обновлений - если почти сразу после успешной обработки  IXFR-пересылки или DDNS-обновления сервер получит связанный с ними запрос может возникнуть бесконечное зацикливание, при котором обработка всех запросов блокируется. Пользователям ветки 9.7.x рекомендуется обновить BIND до версии BIND 9.7.3. Ветки  BIND 9.4, 9.5, 9.6 и 9.8 уязвимости не подвержены. В качестве временной меры защиты bind может быть запущен в однопоточном режиме (опция "-n1"); URL: http://www.isc.org/software/bind/advisories/cve-2011-0414 Новость: https://www.opennet.ru/opennews/art.shtml?num=29692
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+2 +/–
Сообщение от A1ek on 23-Фев-11, 23:09
стопицотое подтверждение того, что актуальная версия ПО - лучшая защита.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	–6 +/–
	Сообщение от bircoph (ok) on 23-Фев-11, 23:32
	Скорее, подтверждение того, что следует использовать адекватную замену bind.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	–7 +/–
	Сообщение от Hety (??) on 23-Фев-11, 23:34
	+1. Уж мыши кололись-кололись, кололись-кололись. У бинда, вероятно, есть своя ниша, но использовать его в ситуациях, когда нет отряда обслуживающих его товаришей, я бы не стал.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+3 +/–
	Сообщение от pavlinux (ok) on 24-Фев-11, 01:06
	Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :)
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+1 +/–
	Сообщение от pavlinux (ok) on 24-Фев-11, 01:07
	> Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :) # echo -ne "nameserver 8.8.4.4\nnameserver 8.8.8.8\n" > /etc/resolv.conf в /etc/dhcpd.conf   option domain-name-servers 8.8.4.4, 8.8.8.8; И весь офис щастлив!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от Hety (??) on 24-Фев-11, 08:31
	Как раз совершенно не провайдеры. Именно поэтому трахаться с биндом смысла нет никакого.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+1 +/–
	Сообщение от СуперАноним on 24-Фев-11, 10:10
	О, как щасслив Гуголь! ;) и Big Brother тоже ;)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+2 +/–
	Сообщение от sHaggY_caT (ok) on 24-Фев-11, 10:22
	>И весь офис щастлив! Не подойдет, если часть сервисов находится в офисной локале, под DNAT на локальный IP, и нужен локальный DNS, который резолвит DNS по корпоративным доменам по-другому, в отличие от внешних, которые резолвят на один из публичных IP офиса. Кроме того, частенько бывают сервисы, которые вообще извне недоступны, а находятся только внутри офисной локалки, и извне, или другого офиса конторы к ним доступ через VPN (или на сервере в датацентре, но все равно всем подряд не видны)
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	15. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от Bx (ok) on 24-Фев-11, 12:02
	>>И весь офис щастлив! > Не подойдет, если часть сервисов находится в офисной локале, под DNAT на > локальный IP, и нужен локальный DNS, который резолвит DNS по корпоративным > доменам по-другому, в отличие от внешних, которые резолвят на один из > публичных IP офиса. > Кроме того, частенько бывают сервисы, которые вообще извне недоступны, а находятся только > внутри офисной локалки, и извне, или другого офиса конторы к ним > доступ через VPN (или на сервере в датацентре, но все равно > всем подряд не видны) etc/hosts вроде вроде как даже и в seven есть :) но осчастливливать гуглу внутренними именами я бы тоже не стал. А выпускать резолвинг из внутренней сетки - вообще немного странно на мой взгляд
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	23. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+1 +/–
	Сообщение от sHaggY_caT (ok) on 25-Фев-11, 00:18
	> etc/hosts вроде вроде как даже и в seven есть :) Уверена, что Вы и сами понимаете, что %system32%\drivers\etc\hosts это для совсем уж SOHO-контор с двумя-тремя виндус-писюками. Не будете же Вы его носить через виндовый puppet, или logon-скрипт в хоть немного большей сети? а внутренний DNS и есть безвелосипедное решение
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	18. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+1 +/–
	Сообщение от pavlinux (ok) on 24-Фев-11, 13:44
	>>И весь офис щастлив! > Не подойдет, если часть сервисов находится в офисной локале, под DNAT Ну тогда им на...рать на "интенсивный поток IXFR-пересылок или DDNS-обновлений..."
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	16. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от mr_gfd on 24-Фев-11, 13:36
	>> Гляжу тут одни провайдеры тусуются... Аль на DNS запросах трафик экономите? :) > # echo -ne "nameserver 8.8.4.4\nnameserver 8.8.8.8\n" > /etc/resolv.conf > в /etc/dhcpd.conf >   option domain-name-servers 8.8.4.4, 8.8.8.8; > И весь офис щастлив! Ой-вей и таки ой! А как же таймауты или длительное ожидание ответа?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от reinhard (ok) on 24-Фев-11, 06:48
	Бернштейна не предлагать!
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	12. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от Аноним (??) on 24-Фев-11, 10:43
	Ага, видели мы эти замены: MaraDNS, PowerDNS и Dnsmasq. В открытом DNS-сервере MaraDNS найдена критическая уязвимость, позволяющая выполнить код на сервере через отправку специально сформированного DNS-запроса (резолвинг имени домена длиннее 254 символов). Статус устранения уязвимости пока неизвестен; https://www.opennet.ru/opennews/art.shtml?num=29402 В открытом высокопроизводительном DNS-сервере PowerDNS Recursor найдены две критические уязвимости, позволяющие удаленному злоумышленнику через отправку специально оформленного пакета выполнить свой код на сервере и осуществить подстановку данных злоумышленника в кэш DNS сервера. https://www.opennet.ru/opennews/art.shtml?num=24921 В пакете Dnsmasq, объединяющем в себе кэширующий DNS прокси и DHCP сервер, обнаружено две уязвимости, позволяющие удаленному злоумышленнику добиться выполнения своего кода. https://www.opennet.ru/opennews/art.shtml?num=23245 В кеширующем резолвере dnscache из состава пакета djbdns подтверждено наличие проблемы безопасности, связанной с некорректной обработкой SOA (Start of Authority) полей, что может быть использовано для увеличение вероятности успешного совершения атаки, направленной на подстановку данных в DNS кеш. https://www.opennet.ru/opennews/art.shtml?num=20633 Особенно комично в этом контексте выглядят такие заявления: "MaraDNS has a strong security history. For example, MaraDNS has always randomized, using a secure random number generator, the Query ID and source port of DNS queries; and was never vulnerable to the "new" cache poisoning attack."
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	13. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+1 +/–
	Сообщение от bircoph (ok) on 24-Фев-11, 11:26
	Посмотри Unbound и NSD, детка. Там и безопасность выше, и скорость. А функциональность та же.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	20. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от Аноним (??) on 24-Фев-11, 13:52
	Вы случайно не телеведущий с беларуского телевидения?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	21. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от Аноним (??) on 24-Фев-11, 16:54
	> Посмотри Unbound и NSD, детка. Там и безопасность выше, и скорость. А > функциональность та же. И чем это у них безопасность лучше ? Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил. Unbound: http://secunia.com/advisories/38888/ http://secunia.com/advisories/36996/ NSD: http://secunia.com/advisories/35165/ http://secunia.com/advisories/31847/ http://secunia.com/advisories/19835/
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	22. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от bircoph (ok) on 24-Фев-11, 19:54
	> Также дырявы, но в отличие от Bind аудит кода в них никто толком еще не проводил. Эти дыры давно закрыли. Конечно, незакрытые дыры есть везде. Но лучше тем, что кода меньше и он проще => безопаснее.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

6. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
Сообщение от Аноним (??) on 24-Фев-11, 02:02
Вот интересно, а что же тогда адекватная замена бинду? Книжки и толковые руководства пока только под него и написаны. Теряюсь в дагадках. Конечно заметно что с каждым годом оно всё хуже и хуже...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от Аноним (??) on 24-Фев-11, 10:36
	powerdns?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	24. "В DNS-сервере Bind 9 обнаружена DOS-уязвимость"	+/–
	Сообщение от анонимоус on 25-Фев-11, 11:45
	А завтра когда популярность его хоть чуть чуть повысится в нем будут находить по 1 дырке в день. Спасибо кушайте сами, а я лучше погрызу "кактус"(bind)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "В DNS-сервере Bind 9 обнаружена DoS-уязвимость"	+1 +/–
Сообщение от увапр on 24-Фев-11, 13:43
Только Unbound и NSD!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема